Per una difesa efficace occorrono strategie integrate, attentamente pianificate e implementate. Zero Trust, threat hunting, formazione e adozione di soluzioni di fiducia sono solo alcuni dei punti cardini di una strategia efficiente
L’uso crescente dell’IA nel cybercrime ha reso più complesso lo scenario delle minacce. L’anno scorso aveva fatto scalpore l’incidente del dipendente di un’azienda britannica che aveva trasferito circa 25 milioni di dollari su cinque conti diversi a seguito di una (strana) videoconferenza con il suo direttore finanziario, rivelatosi un eccellente esempio deep-fake utilizzato per perpetrare la cosiddetta “frode del capo”. Tali casi mostrano la portata della minaccia dell’IA: le tradizionali misure di sicurezza non sono più sufficienti per riconoscere e contrastare questi nuovi modelli di attacco. Gli attacchi coadiuvati dall’IA sono in grado di adattarsi dinamicamente al loro ambiente, possono sfruttare le vulnerabilità IT in tempo reale e ingannare l’anello più debole della catena di sicurezza: l’uomo. Sono quindi necessari metodi di analisi avanzati, basati sull’apprendimento automatico e sull’analisi comportamentale, combinati con misure quali il threat hunting e i controlli di sicurezza continui. Inoltre, nel caso specifico, sarebbe stato opportuno implementare processi che prevedessero una plurima delibera della movimentazione di tali importi di denaro.
Purtroppo, visto che il panorama delle minacce provenienti dall’esterno è sempre più inquietante, gli si dedica maggior attenzione, dimenticando spesso i potenziali rischi cagionati dai dipendenti stessi. Le risorse umane di qualsiasi azienda rappresentano una minaccia particolarmente delicata, in quanto hanno accesso a sistemi e dati sensibili, oltre che a eventuali privilegi di amministratore nell’infrastruttura. A differenza degli aggressori esterni, le potenziali minacce dall’interno sono spesso più difficili da identificare, poiché il personale dispone di diritti di accesso legittimi alle risorse aziendali. Non meraviglia a tal proposito il crescente numero di broker di accessi iniziali a reti compromesse attraverso credenziali carpite in maniera abusiva, spesso all’insaputa dei collaboratori stessi.. E’ quindi essenziale non concentrarsi esclusivamente sulla difesa del perimetro e dei terminali con tradizionali soluzioni antivirus. Occorre invece definire precisamente quali risorse sono accessibili a quali dipendenti, quando e tramite quale hardware. In caso di modelli di lavoro ibridi, occorre prestare attenzione anche alla tipologia di connessione internet. Una cultura aziendale aperta e trasparente, che promuova un comportamento etico e incoraggi i dipendenti a segnalare attività sospette, è altrettanto importante per ridurre al minimo il rischio di minacce interne.
Il cosiddetto approccio Zero Trust è considerato una soluzione promettente per migliorare la sicurezza in un ambiente sempre più connesso e decentralizzato. Invece di presumere che le risorse interne, i dipendenti o i fornitori di servizi esterni (ad esempio, i tecnici incaricati della manutenzione di macchine o apparecchiature) siano affidabili, l’approccio Zero Trust presuppone che nessuna connessione o identità debba essere automaticamente classificata come affidabile. Questi modelli richiedono un controllo granulare degli accessi, metodi di autenticazione forti, un monitoraggio e una convalida continui di tutte le attività di rete. Naturalmente, questo approccio può essere implementato con successo e trasparenza solo se si dispone di una strategia e soluzioni di sicurezza complete. Con soluzioni isolate e specifiche per ogni tipologia di risorsa, l’approccio Zero Trust non è attuabile in maniera sistematica.
Una strategia di sicurezza completa richiede un’attenta pianificazione e implementazione. In primo luogo, è necessaria una valutazione approfondita dei rischi per identificare le minacce e le vulnerabilità specifiche che l’azienda deve affrontare. Sulla base di questa valutazione, è necessario sviluppare chiare linee guida di sicurezza che riflettano gli obiettivi e i requisiti di sicurezza dell’azienda. La ricerca e successiva selezione di tecnologie e soluzioni idonee dovrebbe mirare a ridurre al minimo i rischi identificati, a garantire la conformità alle normative e a favorire, tutelandole, le attività quotidiane degli utenti. Il personale va inoltre regolarmente formato e sensibilizzato, poiché i dipendenti sono di fatto il primo baluardo che i criminali informatici devono superare. L’implementazione di tali strategie di sicurezza avviene spesso individualmente, tenendo conto dei requisiti specifici e dell’infrastruttura esistente in azienda.
Le aziende dovrebbero quindi seguire un approccio olistico alla sicurezza IT che comprenda tecnologia, processi, dipendenti e supply chain. Tra le maggiori lacune nell’implementazione di strategie adeguate sono da annoverare la sottovalutazione dei rischi reali a causa di infrastrutture complicate, ampliate in modo eterogeneo nel corso degli anni, processi di patching trascurati e un’insufficiente allocazione di risorse per la protezione dalle minacce informatiche. Inoltre, molte aziende, anche a causa del budget, trascurano l’importanza di un monitoraggio proattivo e della corretta reazione agli incidenti di sicurezza. Supponendo che l’azienda disponga delle conoscenze e delle risorse necessarie per avviare misure di correzione, questa trascuratezza può cagionare ritardi nelle attività di rilevamento degli attacchi o incidenti. Un’ulteriore lacuna è la scarsa percezione delle direttive europee in materia di sicurezza dei dati e dell’IT. I fornitori con sede in Europa, le cui soluzioni sono certificate ai massimi livelli dalle agenzie di sicurezza europee, dovrebbero essere considerati valide alternative a soluzioni provenienti dai Paesi extraeuropei, al fine di favorire la sovranità digitale del continente, un tema di crescente attualità.
I processi di certificazione delle soluzioni Stormshield per la sicurezza perimetrale e degli endpoint sono gestiti con ANSSI (l’omologo francese dell’ACN italiana). Le certificazioni conseguite confermano che i prodotti Stormshield dispongono di un livello di sicurezza e robustezza che va ben oltre i requisiti minimi delle direttive europee. La certificazione o qualificazione ANSSI riconosce l’efficacia delle soluzioni Stormshield nella lotta contro minacce esterne come malware, ransomware o exploit zero-day e contro minacce interne come l’abuso delle risorse o l’esfiltrazione di dati a scopo fraudolento. In questo modo, non solo tale certificazione contribuisce a creare fiducia, ma rafforza anche la resilienza delle aziende che utilizzano i prodotti Stormshield per proteggersi.
